A vulnerability has been discovered and corrected in ejabberd :

The TLS driver in ejabberd before 2.1.12 supports (1) SSLv2 and (2) weak SSL ciphers, which makes it easier for remote attackers to obtain sensitive information via a brute-force attack (CVE-2013-6169).

The updated packages have been upgraded to the 2.1.13 version which is not vulnerable to this issue.

在 ejabberd 中发现并修正了一个漏洞：

2.1.12 之前的 ejabberd 中的 TLS 驱动程序支持 (1) SSLv2 和 (2) 弱 SSL 密码，这使远程攻击者更容易通过蛮力攻击获取敏感信息 (CVE-2013-6169)。

更新后的程序包已升级为 2.1.13 版，此版本不易受到该问题的影响。

The remote Solaris system is missing necessary patches to address security updates :

  - The mod_pubsub module (mod_pubsub.erl) in ejabberd 2.1.8     and 3.0.0-alpha-3 allows remote authenticated users to     cause a denial of service (infinite loop) via a stanza     with a publish tag that lacks a node attribute.
    (CVE-2011-4320)

  - The TLS driver in ejabberd before 2.1.12 supports (1)     SSLv2 and (2) weak SSL ciphers, which makes it easier     for remote attackers to obtain sensitive information via     a brute-force attack. (CVE-2013-6169)

It was discovered that ejabberd, a Jabber/XMPP server, uses SSLv2 and weak ciphers for communication, which are considered insecure. The software offers no runtime configuration options to disable these.
This update disables the use of SSLv2 and weak ciphers.

The updated package for Debian 7 (wheezy) also contains auxiliary bugfixes originally staged for the next stable point release.

ejabberd で脆弱性が発見され、修正されています：

2.1.12 以前の ejabberd の TLS ドライバーは、（1）SSLv2 および（2）脆弱な SSL 暗号をサポートしています。これにより、リモートの攻撃者が、ブルートフォース攻撃を介して機密情報を取得しやすくなります（CVE-2013-6169）。

更新パッケージは、この問題に対して脆弱でない 2.1.13 バージョンにアップグレードされています。

リモートの Solaris システムに、次のセキュリティの更新に対処するのに必要なパッチがありません：

- ejabberd 2.1.8 および 3.0.0-alpha-3 における mod_pubsub モジュール（mod_pubsub.erl）では、認証されたリモートの攻撃者が、ノード属性の欠けたパブリッシュタグを含む stanza を介して、サービス拒否（無限ループ）を引き起こす可能性があります。
 (CVE-2011-4320)

- 2.1.12 より前の ejabberd の TLS ドライバーは、（1）SSLv2 および（2）脆弱な SSL 暗号をサポートしています。このため、リモートの攻撃者は、ブルートフォース攻撃を介して機密情報を取得しやすくなります。(CVE-2013-6169)

Jabber/XMPP サーバーである ejabberd が、通信で SSLv2 および弱い暗号化を使用し、そのために安全でないと考えられます。ソフトウェアは、これらを無効にするランタイムの設定オプションは提供していません。
この更新で、SSLv2 および弱い暗号化の使用は無効になります。

また、Debian 7（wheezy）の更新済みパッケージには、本来次の安定版ポイントリリースのための補助的なバグ修正も含まれています。

在 ejabberd 中發現一個弱點並已更正：

- ejabberd 2.1.12 之前版本中的 TLS 驅動程式支援 (1) SSLv2 及 (2) 弱式 SSL 密碼，這會讓遠端攻擊者更容易透過暴力密碼破解攻擊取得敏感資訊 (CVE-2013-6169)。

更新版套件已升級至 2.1.13 版，不會受到此問題的影響。

遠端 Solaris 系統缺少處理安全性更新的必要修補程式：

  - ejabberd 2.1.8 和 3.0.0-alpha-3 中的 mod_pubsub 模組 (mod_pubsub.erl) 允許經驗證的遠端使用者透過具有缺乏節點屬性之發佈標籤的 stanza 造成拒絕服務 (無限迴圈)。
    (CVE-2011-4320)

  - ejabberd 2.1.12 之前版本中的 TLS 驅動程式支援 (1) SSLv2 及 (2) 弱式 SSL 密碼，這會讓遠端攻擊者更容易透過暴力密碼破解攻擊取得敏感資訊。(CVE-2013-6169)

據發現，ejabberd (Jabber/XMPP 伺服器) 通訊時使用 SSLv2 和弱式密碼，這些都是不安全的使用情況。軟體並未提供任何可予以停用的運行時間組態選項。
此更新停用了 SSLv2 和弱式密碼。

Debian 7 的更新版套件 (wheezy) 也納入了輔助錯誤修正，其原本預定在下一個穩定的點版本中發佈。

远程 Solaris 系统缺少用于处理安全更新的必要修补程序：

  - ejabberd 2.1.8 和 3.0.0-alpha-3 中的 mod_pubsub 模块 (mod_pubsub.erl) 允许经过认证的远程用户通过具有缺少节点属性的发布标签的 stanza 来造成拒绝服务（无限循环）。
    (CVE-2011-4320)

  - 2.1.12 之前的 ejabberd 中的 TLS 驱动程序支持 (1) SSLv2 和 (2) 弱 SSL 密码，这使远程攻击者更容易通过暴力攻击获取敏感信息。(CVE-2013-6169)

已发现 Jabber/XMPP 服务器 ejabberd 使用 SSLv2 和弱密码进行通信，这被视为不安全。该软件提供无运行时配置选项以禁用这些功能。
此更新禁止使用 SSLv2 和弱密码。

Debian 7 (wheezy) 的更新后的程序包还包含最初阶段性用于下一稳定点版本的辅助缺陷补丁。

ID	名稱	產品	系列	已發布	已更新	嚴重性
72020	Mandriva Linux Security Advisory : ejabberd (MDVSA-2014:005)	Nessus	Mandriva Local Security Checks	2014/1/19	2021/1/6	medium
72020	Mandriva Linux 安全公告：ejabberd (MDVSA-2014:005)	Nessus	Mandriva Local Security Checks	2014/1/19	2021/1/6	medium
80601	Oracle Solaris Third-Party Patch Update : ejabberd (cve_2013_6169_cryptographic_issues)	Nessus	Solaris Local Security Checks	2015/1/19	2021/1/14	medium
70375	Debian DSA-2775-1 : ejabberd - insecure SSL usage	Nessus	Debian Local Security Checks	2013/10/11	2021/1/11	medium
72020	Mandriva Linux セキュリティアドバイザリ：ejabberd（MDVSA-2014:005）	Nessus	Mandriva Local Security Checks	2014/1/19	2021/1/6	medium
80601	Oracle Solaris サードパーティのパッチの更新：ejabberd（cve_2013_6169_cryptographic_issues）	Nessus	Solaris Local Security Checks	2015/1/19	2021/1/14	medium
70375	Debian DSA-2775-1：ejabberd - 安全でない SSL の使用	Nessus	Debian Local Security Checks	2013/10/11	2021/1/11	medium
72020	Mandriva Linux 安全性公告：ejabberd (MDVSA-2014:005)	Nessus	Mandriva Local Security Checks	2014/1/19	2021/1/6	medium
80601	Oracle Solaris 第三方修補程式更新：ejabberd (cve_2013_6169_cryptographic_issues)	Nessus	Solaris Local Security Checks	2015/1/19	2021/1/14	medium
70375	Debian DSA-2775-1：ejabberd - 不安全的 SSL 使用方式	Nessus	Debian Local Security Checks	2013/10/11	2021/1/11	medium
80601	Oracle Solaris 第三方修补程序更新：ejabberd (cve_2013_6169_cryptographic_issues)	Nessus	Solaris Local Security Checks	2015/1/19	2021/1/14	medium
70375	Debian DSA-2775-1：ejabberd - 不安全的 SSL 使用	Nessus	Debian Local Security Checks	2013/10/11	2021/1/11	medium

偵測

搜尋 Plugin

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium